Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הפעלת IAP ב-Compute Engine

בדף הזה מוסבר איך לאבטח מכונה של Compute Engine באמצעות שרת proxy לאימות זהויות (IAP).

לפני שמתחילים

כדי להפעיל את IAP ב-Compute Engine, צריך:

פרויקט במסוף עם חיוב מופעל. Google Cloud
קבוצה של מכונה וירטואלית אחת או יותר של Compute Engine, שמוגשת על ידי מאזן עומסים.
- מידע על הגדרת מאזן עומסים חיצוני מסוג HTTPS
- מידע על הגדרת מאזן עומסים פנימי מסוג HTTP
שם דומיין שרשום לכתובת של מאזן העומסים.
קוד האפליקציה לאימות שלכל הבקשות יש זהות.
- מידע נוסף על קבלת הזהות של המשתמש

אם עדיין לא הגדרתם את המכונה של Compute Engine, תוכלו להיעזר במדריך המלא בנושא הגדרת IAP ל-Compute Engine.

מערכת IAP משתמשת בלקוח OAuth שמנוהל על ידי Google כדי לאמת את המשתמשים. רק משתמשים בארגון יכולים לגשת לאפליקציה עם רכישות מתוך האפליקציה. אם רוצים לאפשר גישה למשתמשים מחוץ לארגון, אפשר לעיין במאמר בנושא הפעלת IAP לאפליקציות חיצוניות.

אפשר להפעיל את IAP בשירות קצה עורפי של Compute Engine או בכלל העברה של Compute Engine. כשמפעילים IAP בשירות לקצה העורפי של Compute Engine, רק השירות הזה מוגן על ידי IAP. כשמפעילים את IAP בכלל העברה ב-Compute Engine, כל המכונות ב-Compute Engine שמאחורי כלל ההעברה מוגנות על ידי IAP.

הפעלת IAP בכלל העברה

אפשר להפעיל את IAP בכלל העברה באמצעות מסגרת כללי ההרשאה של מאזן העומסים.

gcloud

מריצים את הפקודה הבאה כדי להכין קובץ policy.yaml. המדיניות מאפשרת ללקוחות עם טווח כתובות IP של 10.0.0.0/24 להפעיל IAP בכלל העברה.

$ cat << EOF > policy.yaml
action: CUSTOM
description: authz policy with Cloud IAP
name: AUTHZ_POLICY_NAME
httpRules:
  - from:
      sources:
      - ipBlocks:
        - prefix: "10.0.0.0"
          length: 24
customProvider:
  cloudIap: {}
target:
  loadBalancingScheme: EXTERNAL_MANAGED
  resources:
  - https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID
EOF

מריצים את הפקודה הבאה כדי להפעיל את IAP בכלל העברה.

gcloud network-security authz-policies import AUTHZ_POLICY_NAME \
--source=policy.yaml \
--location=LOCATION \
--project=PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
‫LOCATION: האזור שבו נמצא המשאב.
‫FORWARDING_RULE_ID: המזהה של משאב כלל ההעברה.
AUTHZ_POLICY_NAME: השם של מדיניות ההרשאות.

API

מריצים את הפקודה הבאה כדי להכין קובץ policy.json.

cat << EOF > policy.json
{
"name": "AUTHZ_POLICY_NAME",
"target": {
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "resources": [
    "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/LOCATION/forwardingRules/FORWARDING_RULE_ID"
  ],
},
"action": "CUSTOM",
"httpRules": [
  {
    "from": {
      "sources": {
        "ipBlocks": [
          {
            "prefix": "10.0.0.0",
            "length": 24
          }
        ]
      }
    }
  }
],
"customProvider": {
  "cloudIap": {}
}
}
EOF

מריצים את הפקודה הבאה כדי להפעיל את IAP בכלל העברה.
```
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @policy.json \
"https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/authzPolicies"
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
- ‫LOCATION: האזור שבו נמצא המשאב.
- ‫FORWARDING_RULE_ID: המזהה של משאב כלל ההעברה.
- AUTHZ_POLICY_NAME: השם של מדיניות ההרשאות.

אחרי שמפעילים את IAP בכלל העברה, אפשר להחיל הרשאות על משאבים.

הפעלת IAP בשירות לקצה העורפי של Compute Engine

אפשר להפעיל את IAP בשירות לקצה העורפי של Compute Engine דרך השירות הזה.

console

לקוח ה-OAuth שמנוהל על ידי Google לא זמין כשמפעילים את IAP באמצעות Google Cloud המסוף.

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

If you are running GKE clusters version 1.24 or later, you can configure IAP and GKE by using the Kubernetes Gateway API. To do so, complete the following steps and then follow the instructions in Configure IAP. Do not configure BackendConfig.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.

If you don't see a resource, ensure that the resource is created and that the BackendConfig Compute Engine ingress controller is synced.

To verify that the backend service is available, run the following gcloud command:
gcloud compute backend-services list
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under APPLICATIONS, find the load balancer that serves the instance group you want to restrict access to. To turn on IAP for a resource, toggle the on/off switch in the IAP column.
To enable IAP:
- At least one protocol in the load balancer frontend configuration must be HTTPS. Learn about setting up a load balancer.
- You need the compute.backendServices.update, clientauthconfig.clients.create, clientauthconfig.clients.update, and clientauthconfig.clients.getWithSecret permissions. These permissions are granted by roles, such as the Project Editor role. To learn more, see Managing access to IAP-secured resources.
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
To sign in, follow the URL that appears.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the resource that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```

To enable IAP, run either the globally or regionally scoped command.

Global scope

gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled

Regional scope

gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

מריצים את הפקודה הבאה כדי להכין קובץ settings.json.
```
cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF
```

מריצים את הפקודה הבאה כדי להפעיל את IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

אחרי שמפעילים את IAP, אפשר להשתמש ב-Google Cloud CLI כדי לשנות את מדיניות הגישה של IAP באמצעות תפקיד ה-IAM‏ roles/iap.httpsResourceAccessor. מידע נוסף על ניהול תפקידים והרשאות

הפעלת IAP ב-Compute Engine קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

הפעלת IAP בכלל העברה

gcloud

API

הפעלת IAP בשירות לקצה העורפי של Compute Engine

console

Setting up IAP access

Turning on IAP

gcloud

API

הפעלת IAP ב-Compute Engine